Gestão da Segurança da Informação prova

Prévia do material em texto

Prova Impressa
GABARITO | Avaliação da Disciplina (Cod.:858956)
Peso da Avaliação 10,00
Prova 72386631
Qtd. de Questões 20
Nota 9,00
A segurança física é a aplicação de medidas físicas, técnicas e procedimentais de proteção para 
impedir o acesso não autorizado a informação considerada sensível, onde se inclui aquela que contém 
dados pessoais. Deste modo a combinação apropriada de medidas de segurança físicas a serem 
implementadas deve ser determinada com base no resultado da análise prévia do risco. (MARQUES, 
2018).
 Fonte: MARQUES, A. G. Segurança Física. 
A O objetivo da segurança física é assegurar a proteção sobre dados do passivo da organização para
que somente usuários autorizados tenham acesso a ela. 
B O controle de acesso tem como responsabilidade promover a proteção dos hardwares,
aplicativos, bem como a alteração e divulgação autorizada de dados. 
C
 A combinação apropriada de medidas de segurança físicas a serem implementadas deve ser
determinada com base no resultado da análise prévia do risco. A exigência das medidas deve ser
proporcional ao risco identificado. 
D É fundamental a manutenção da identificação do usuário por lD e senha, como também, um
sistema complexo onde tenham os logs de entrada e saída do usuário.
A segurança da informação integrada combina inúmeras tecnologias de segurança com 
compatibilidade de políticas, gerenciamento, serviço e suporte, e pesquisa para proteger as 
informações. Portanto, essa combinação de várias funções possibilita uma proteção mais eficiente e 
eficaz contra a grande variedade de ameaças minimizando os efeitos dos ataques (SANTOS; 
SOARES, 2019).
 
Fonte: SANTOS, E. E. dos; SOARES, T. M. M. K. Riscos, ameaças e vulnerabilidades: o impacto da 
segurança da informação nas organizações. Revista Tecnológica da Fatec Americana, vol. 07, n. 02, 
abril/setembro de 2019.
 Considerando a segurança da informação integrada, assinale a alternativa CORRETA: 
A Filtragem de conteúdo: responsável por identificar o acesso não autorizado e dispara alertas e
relatórios.
B Proteção antimalware: possibilita a avaliação da posição de segurança da rede descobrindo
falhas de segurança e sugerindo melhorias.
C Gerenciamento de vulnerabilidades: permite as conexões além do perímetro da rede local,
assegurando que redes locais se comuniquem com segurança por meio da Internet.
D Firewall: responsável por controlar todo o tráfego de dados verificando as informações que
entram e saem da rede assegurando para ocorrer acessos não autorizados.
 VOLTAR
A+ Alterar modo de visualização
1
2
A ética da informação diz respeito às questões éticas e morais referentes ao desenvolvimento e ao uso 
das tecnologias da informação. Além disso, contempla a elaboração, coleta, duplicação, distribuição e 
processamento de informação (FONTES, 2006).
 
Fonte: FONTES, Edson. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 
2006. 
 Considerando a ética da informação, assinale a alternativa CORRETA: 
A A moral determina como as informações serão utilizadas e como o seu uso afetará os indivíduos
da organização.
B A ética da Informação estuda as questões normativas relacionadas com a elaboração,
preservação, organização, acesso, apresentação e controle da informação. 
C A informação tem como característica a ética, isso significa que os indivíduos que possuem a
informação devem estabelecer os padrões éticos sobre o modo de como gerir as informações. 
D A ética é o conjunto de valores e costumes difundidos por uma determinada sociedade, enquanto
a moral é a prática coletiva influenciada por esse conjunto de valores éticos individuais. 
Com o propósito de orientar as organizações em relação as melhores práticas de segurança da 
informação, diversos órgãos consolidam inúmeros elementos de segurança com normas e boas 
práticas para alcançar efetivamente a segurança em seu ambiente (DONDA, 2016). 
 Considerando as normas da NBR/ISO, assinale a alternativa CORRETA: 
A A Norma 27004 trata dos aspectos críticos necessários para a implantação de um projeto bem-
sucedido de um Sistema de Gestão da Segurança da Informação (SGSI). 
B A Norma 27005 especifica os requisitos para estabelecer, implementar, manter e melhorar
continuamente um sistema de gestão da segurança da informação no contexto da organização.
C Norma 27000 proporciona uma visão geral de sistemas de gestão de segurança da informação,
de termos e de definições comumente usados na família ISMS de normas. 
D A Norma 27001 estabelece diretrizes para as práticas de gestão de segurança da informação e
normas de segurança da informação para as organizações. 
Um ataque usa uma determinada vulnerabilidade para infringir uma propriedade de segurança do 
sistema. Uma das principais ameaças aos sistemas estão relacionadas a destruição de informações ou 
recursos, alterações ou deturpação da informação, bem como,roubo, eliminação ou exposição de 
informação, podendo paralisar os serviços da organização (MAZIERO, 2019).
 
Fonte: MAZIERO, C. Sistemas Operacionais: Conceitos e Mecanismos. Universidade Federal do 
Paraná. UFBR: 2019.
 Considerando as características de um ataque, assinale a alternativa CORRETA: 
A Interrupção: obtém acesso de modo não autorizado a um fluxo de informações, porém sem
alterá-las, ou seja, é um ataque vinculado à confidencialidade 
B
É preciso considerar que existem ataques ativos que visam obter informações confidenciais,
entretanto, os ataques passivos inserem alterações no sistema para favorecer o atacante ou
bloquear sua utilização pelos usuários autorizados.
3
4
5
C Interceptação: impede o fluxo normal das informações ou acessos, ou seja, corresponde a um
ataque à disponibilidade do sistema. 
D
 Um ataque ocorre quando uma ameaça intencional é realizada. Os ataques ocorrem por motivos
diversos. Variam desde a pura curiosidade, passando pelo interesse em adquirir maior
conhecimento sobre os sistemas, até o extremo, envolvendo ganhos financeiros, extorsão ou
chantagem de algum tipo. 
A informação é um recurso que tem valor agregado definido pelo usua´rio e, tendo como propo´sito, a 
garantia que a organização obtenha seus objetivos pelo uso eficiente e eficaz dos recursos financeiros 
e humanos, bem como, dos recursos tecnológicos e a pro´pria informac¸a~o. A segurança da 
informação representa a adoção de práticas para proteger a informação, e ainda promover um 
alinhamento da tecnologia com às estratégias da organização (SÊMOLA, 2003).
 
Fonte: SE^MOLA, M. Gesta~o da seguranc¸a da informac¸a~o: uma visa~o executiva – Rio de 
Janeiro: Campus, 2003.
 
 Considerando a segurança na internet, assinale a alternativa CORRETA: 
A As empresas também precisam tomar muito cuidado com os dados que postam na internet, sendo
os próprios sites, blogs, Facebook ou Instagram. 
B O treinamento da conscientização da equipe não é estruturado, planejado e não pode ser
adaptável às situações e aos indivíduos.
C
A conscientização é um processo curto e rápido, que pretende criar uma consciência de uso
seguro da internet, principalmente, das redes sociais, que ganham milhares de novos adeptos
todos os dias. 
D
O desafio em relação à segurança na internet é que as mudanças no mundo digital são lentas e
graduais. Por isso, não é válido implementar controles e tentar resolver todos os problemas
identificados imediatamente; mais vale priorizar e conscientizar.
A política da segurança da informação são objetivos documentados e transformados em valores, 
princípios e requisitos para se obter um padrão de proteção para as informações. Seguindo essa linha 
de raciocínio, pode-se definir a política de segurança da informação como: um documento que 
determina princípios, valores, compromissos e requisitos para a segurança da informação (DANTAS, 
2011).
 
Fonte: DANTAS, L. M. Segurança da informação: uma abordagem focada em gestão de riscos. 
Olinda: Livro Rápido, 2011.
 
Considerando os conceitos e definições da política de segurança da informação, assinale a alternativa 
CORRETA:A Desenvolvimento da Política: responsável pela definição dos requisitos corporativos da política
de segurança da informação, bem como o estabelecimento de padrões para documentação. 
B Aprovação da política: responsável pela solicitação e o recebimento do apoio executivo. Nesta
etapa, é elaborado um programa de conscientização de segurança corporativa. 
C Implementação da política: responsável pelo gerenciamento da fase de identificação das
necessidades da política até a autorização da política final. 
6
7
D Manutenção da política: avaliação da conformidade e da efetividade da política implementada,
bem como elaborar ações corretivas para a não conformidade.
A informação pode ser considerada um conjunto de dados que poderá resultar em novas informações, 
sendo um ativo valioso para a organização. Transformar esses dados em informação é transformar 
algo com pouco significado em um recurso de valor para a nossa vida pessoal e profissional 
(FONTES, 2006).
 
Fonte: FONTES, Edson. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 
2006.
 Considerando o conceito de dados e informação, assinale a alternativa CORRETA: 
A Os dados são considerados fatos brutos que apresentam as características de um determinado
evento, ou seja, são registros que podem estar vinculados a algum evento.
B O dado é considerado uma informação processada que apresenta as características de um
determinado evento. 
C A informação é de fácil estruturação e obtida de modo ágil por máquinas. Além disso, a
informação pode ser transferível e quantificável.
D O dado é um conjunto de informações com valor, que diminui a incerteza ou amplia o
conhecimento. 
Os roteadores têm como objetivo distribuir o sinal de internet, ou seja, são importantes para fazer o 
roteamento e a interligação de uma rede para outra. Atualmente os roteadores possuem antenas para 
que os dispositivos, incluindo os estáticos, consigam realizar conexão sem fios. Em determinados 
modelos é preciso ter um adaptador para captar o sinal wireless (SÊMOLA, 2014).
 
Fonte: SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: 
Campus, 2 ed, 2014.
 
Considerando as etapas para garantir a segurança da informação dos roteadores, assinale a alternativa 
CORRETA: 
A Hd externo é um ajuste que modifica a rede sem fio em um Wi-Fi invisível, deste modo, usuários
não autorizados não conseguem localizar o roteador, dificultando uma possível invasão.
B Rede invisível com SSDI apresenta maior parte das vulnerabilidades é observada em aparelhos
recém-lançados.
C A maior parte das vulnerabilidades é observada em aparelhos recém-lançados. Verificar as
atualizações de segurança do firmware para que usuários mantenham os equipamentos seguros. 
D O WPA3.2 é um protocolo de certificação que utiliza o APS (Advanced ption Standard), sistema
de encriptação mais seguro e mais pesado do que o WPA2 original. 
8
9
Um certificado digital é considerado uma estrutura de dados que possui valores de chave pública, 
bem como, um conjunto de informações de identificação da entidade a qual essa chave está ligada 
(ALBUQUERQUE, 2020) fazem parte de uma Infraestrutura de Chaves Públicas, então, a 
confiabilidade do certificado é proveniente da assinatura realizada pela autoridade certificadora e que 
está presente no certificado.
 
Fonte: ALBUQUERQUE, S. L. Protocolo de autenticação contínua multimodal com uso de 
eletrocardiografia para ambientes de computação móvel em nuvem. Distrito Federal, 2020.
 Considerando as características do certificado digital, assinale a alternativa CORRETA: 
A Chave de acesso pública digital, totalmente segura e confidencial, que permite verificar a
autenticidade de dados. 
B Quem emite o certificado digital são empresas somente públicas que possuem autoridade
certificadora. 
C As informações são criptografadas, isto é, organizadas de modo que só quem tem permissão
pode entendê-los.
D O A3 é a validade de um ano, fica armazenado diretamente em um único computador. 
CORAS é um método que integra diversas técnicas para avaliação de risco com base em Unified 
Modeling Language (UML). O projeto foi iniciado em 2001 por quatro países da União Europeia 
(Grécia, Alemanha, Noruega e Reino Unido), com apoio de empresas de TI (Intracom, Solinet e 
Telenor) e de sete institutos (CTI, FORTH, IFE, NCT, NR, RAL e Sintef), além da universidade 
QMUL, no Reino Unido (MARTINS, 2014, p. 50).
 
Fonte: MARTINS, A. B. Desenvolvimento de uma metodologia para gestão de risco com base no 
método coras e avaliação quantitativa para aplicação em plantas de saneamento. Tese apresentada à 
Escola Politécnica da Universidade de São Paulo para obtenção do título de Doutora em Ciências. 
São Paulo, 2014.
 Considerando o método CORAS (The Coras Method), assinale a alternativa CORRETA:
A
O método CORAS apresenta uma forte preocupação em compreender os alvos dos passivos da
organização, o contexto e os objetivos da avaliação efetuada nas principais operações da
organização. 
B Um ponto positivo do método CORAS é que exige pouco conhecimento especializado de áreas
distintas, sendo de fácil aplicação.
C
 A linguagem CORAS é uma linguagem de modelagem gráfica para documentação, comunicação
e análise de ameaças à segurança e cenários de risco no processo de análise dos passivos das
ameaças.
D A metodologia CORAS disponibiliza uma ferramenta computacional desenvolvida para
documentar, manter e gerar relatórios de análise através da modelagem de risco. 
O Cobit (Control Objectives for Information and related Technology - objetivos de controle para a 
informação e tecnologia) é considerado uma ferramenta focada em Governança de TI elaborada e 
mantida pela Information Systems Audit and Control Association (ISACA) (MASCARENHAS 
NETO, 2019).
10
11
12
 Fonte: MASCARENHAS NETO, P. T. Segurança da informação. São João Pessoa: UFPB, 2019. 
Considerando a ferramenta Cobit, assinale a alternativa CORRETA: 
A O Cobit de modo geral possui um sumário executivo, um framework, controle de objetivos,
mapas de auditoria, ferramentas para implementação e um guia com técnicas de gerenciamento. 
B A etapa de coleta de dados do Cobit cria um perfil de risco para cada cenário com uma visão
para o risco existente.
C O Cobit aborda o risco de segurança da informação na tecnologia ligando os cenários associados
aos riscos de segurança da informação com a resposta adequada aos passivos organizacionais. 
D
O novo framework do Cobit 7 é estruturado em sete princípios de governança corporativa de
tecnologia da informação (TI) que possibilitam que a organização desenvolva um framework
efetivo de governança e gestão de TI. 
Um sistema informático compreende inúmeros fatores além do sistema operacional, ou seja, a em si 
manutenção das propriedades de segurança estão relacionadas ao funcionamento adequado de todos 
os elementos do sistema (hardware até o usuário final) (MAZIERO, 2019).
 
Fonte: MAZIERO, C. Sistemas Operacionais: Conceitos e Mecanismos. Universidade Federal do 
Paraná. UFBR: 2019.
 Considerando os aspectos básicos do sistema de segurança, assinale a alternativa CORRETA: 
A Auditoria: alerta os responsáveis pela segurança sobre qualquer sinal de invasão ou mudança
suspeita no comportamento da rede que possa significar um padrão de ataque.
B Aplicativos de backup: manter sempre atualizados e testados os arquivos de segurança em mídia
confiável e separados logicamente dos servidores.
C Proteção de perímetro: ferramentas de firewall e routers cuidam desse aspecto, mantendo a rede
protegida contra tentativas de intrusão. 
D Proteção de arquivos: a segurança física impede acessos físicos não autorizados à infraestrutura
da rede. 
A gestão de riscos é considerada essencial na gestão estratégica de qualquer organização, pois analisa 
de modo metódico os riscos específicos de cada atividade, com o objetivo de obter uma vantagem 
sustentada em cada atividade individual e no conjunto de todas as atividades. Então, a ponderaçãode 
um risco é avaliada através da combinação da probabilidade ou frequência de ocorrência e da 
magnitude das consequências ou impacto dessa ocorrência (FERREIRA, 2019).
 
Fonte: FERREIRA, D. G. Arquitetura segura no desenvolvimento de software: Abordagem à 
plataforma digital U. OPENLAB. Mestrado em Segurança Informática Departamento de Ciência de 
Computadores. Faculdade de Letras da Universidade do Porto, 2019.
 
Considerando a matriz de risco, assinale a alternativa CORRETA: A A matriz de risco é considerada 
uma ferramenta muito usada que ajuda o desenvolvedor na classificação e priorização de riscos e 
ainda facilita a comunicação visual. B A matriz de risco é representada por meio de eixos de escalas 
numéricas inteiras de ocorrência e impacto para um determinado fator de risco e ameaça. C Após a 
representação visual da matriz, cada um dos fatores de risco precisa ser identificado e avaliado em 
relação a sua probabilidade de não ocorrência. D A matriz de risco avalia um processo sistemático da 
probabilidade de ocorrência de uma falha e do impacto desta na organização, considerando as perdas 
de confidencialidade, integridade e disponibilidade dos passivos.
13
14
A A matriz de risco é considerada uma ferramenta muito usada que ajuda o desenvolvedor na
classificação e priorização de riscos e ainda facilita a comunicação visual. 
B
 A matriz de risco avalia um processo sistemático da probabilidade de ocorrência de uma falha e
do impacto desta na organização, considerando as perdas de confidencialidade, integridade e
disponibilidade dos passivos.
C Após a representação visual da matriz, cada um dos fatores de risco precisa ser identificado e
avaliado em relação a sua probabilidade de não ocorrência.
D A matriz de risco é representada por meio de eixos de escalas numéricas inteiras de ocorrência e
impacto para um determinado fator de risco e ameaça. 
Uma anomalia é definida como algo diferente, anormal, peculiar ou que não seja facilmente 
classificado. No contexto de segurança, uma anomalia pode ser definida como ações ou dados que 
não sejam considerados normais por um determinado sistema, usuário ou rede (PINHEIRO, 2007).
 
Fonte: PINHEIRO, J. M. dos S. Ameaças e Ataques aos Sistemas de Informação: Prevenir e 
Antecipar. Caderno UniFOA.n05, dezembro de 2007.
 Considerando a definição de anomalia, assinale a alternativa CORRETA: 
A Anomalias em padrões de protocolos: estão relacionadas normalmente ao comportamento de
usuários
B
 Anomalias em padrões de protocolos: são consideradas de natureza estatística, incluindo algumas
características como volume de tráfego, mistura de protocolos e inúmeras distribuições na origem
e no destino. 
C Anomalias em padrões de comportamento: esses sistemas tendem a variar conforme a
implementação, porém os mais eficientes são implementados como sistemas de modelo rígido. .
D Anomalias em padrões de comportamento: estão relacionadoq normalmente ao comportamento
de usuários.
A nossa sociedade nunca teve ao longo da história tanto acesso de informações, mas toda essa 
disponibilidade pode acarretar problemas de segurança da informação. Isso significa que a segurança 
da informação é o conceito fundamental para defender os dados de uma determinada organização 
(DANTAS, 2011).
 
Fonte: DANTAS, L.M. Segurança da Informação: uma abordagem focada em gestão de riscos. 
Olinda. Livro Rapido, 2011.
 Considerando as características da informação, assinale a alternativa CORRETA: 
A
Informação é muito mais que um conjunto de dados. Transformar a informação em dados é
transformar algo com pouco significado em um recursos de valor para a nossa vida pessoal e
profissional. 
B A palavra informação deriva do latim “informare”, que significa dar forma ou aparência, criar,
representar uma ideia ou noção de algo que é colocado em forma, em ordem. 
C Os dados são considerados informações brutas que apresentam as características de um
determinado evento, ou seja, são registros que podem estar vinculados a algum evento problema.
15
16
D A informação pode ser considerada um conjunto de dados que poderá resultar em novas
informações, sendo um passivo valioso para a organização. 
Em relação à análise de risco de segunrança da informação, a análise qualitativa é utilizada, 
geralmente, quando não existe a disponibilidade de dados ou quando eles são precários, e sua análise 
é realizada com base em valores referenciais. Já a análise quantitativa é utilizada quando os dados são 
confiáveis, estão disponíveis e sua análise é baseada em valores absolutos (DANTAS, 2011).
 
Fonte: DANTAS, L. M. Segurança da informação: uma abordagem focada em gestão de riscos. 
Olinda: Livro Rápido, 2011.
 Considerando os métodos qualitativos e quantitativos, assinale a alternativa CORRETA: 
A O método quantitativo não consegue ranquear os riscos identificados e utilizam questionários e
matrizes de risco. 
B O método qualitativo aborda técnicas subjetivas e fornece estimativas numéricas e não realizam
o tratamento de dados estatísticos e dados históricos. 
C O método qualitativo usa técnicas objetivas, caras e complexas, porém suprem as deficiências
dos métodos quantitativos. 
D O método quantitativo ajusta-se bem quando não se tem conhecimento profundo do objeto da
análise, a incerteza é grande.
A teoria do perímetro é a estrutura de segmentação de ambientes físicos, sendo considerada uma 
estratégia militar de defesa com o objetivo de assegurar os níveis de proteção da informação. Desse 
modo, torna-se possível aplicar os controles em cada nível previamente estabelecido sem exceder as 
reais necessidade de proteção (FONTES, 2006).
 
Fonte: FONTES, E. L. G.Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 
2006.
 Considerando as características da teoria do perímetro, assinale a alternativa CORRETA:
A Núcleo da Rede: local das aplicações críticas de negócio e respectivos sistemas de apoio. 
B Acesso à rede: local dos recursos públicos, tais como: servidores Web e FTP, gateways de
aplicação e sistemas que proporcionam funções de segurança especializadas. 
C Perímetro de rede: segmento que necessita da máxima proteção devido ao alto de nível das
informações.
D Perímetro de rede: pode ser uma rede privada, pública ou virtual, utilizada pelo exterior para
acessar a rede e seus serviços e aplicativos. 
Com o propósito de orientar as organizações em relação as melhores práticas de segurança da 
informação, diversos órgãos consolidam inúmeros elementos de segurança com normas e boas 
práticas para alcançar efetivamente a segurança em seu ambiente. Conforme Sêmola (2003, p. 43): 
“Uma norma tem o propósito de definir regras, padrões e instrumentos de controle que deem 
uniformidade a um processo, produto ou serviço”.
 
17
18
19
Fonte: SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva – Rio de 
Janeiro: Campus, 2003.
 Considerando as características da ISO 17799, assinale a alternativa CORRETA: 
A Os recursos de informação que serão usados para identificar anomalias técnicas precisam ser
identificados, ou seja, identificar quais hardwares e outras tecnologias utilizadas no processo. 
B Conforme a urgência exigida para tratar uma anomalia técnica é necessário a tomada da ação
conforme os controles relacionados com a gestão de mudanças. 
C Os patches precisam ser avaliados antes de serem testados. Isso é necessário para garantir que
tragam efeitos positivos necessários ao sistema.
D A organização define e estabelece as funções e responsabilidades associadas à gestão de
vulnerabilidades técnicas. 
 A informação está presente em todos os segmentos da organização. A informação organizacional 
surge em diferentes níveis, formatos e granularidades, ou seja, o detalhamento da informação 
(BALTZAN e PHILLIPS, 2012). Então cada indivíduo necessita correlacionar os diferentes níveis, 
formatos e granularidades da informação para tomar a decisão estratégica adequada à organização 
(BALTZAN e PHILLIPS, 2012; MAZIERO, 2019).Fonte: BALTZAN, P. e PHILLIPS, A. Sistemas de informação. Porto Alegre: AMGH, 2012.
Fonte: MAZIERO, C. Sistemas Operacionais: Conceitos e Mecanismos. Universidade Federal do 
Paraná. UFBR: 2019.
 
Considerando a qualidade da informação no contexto das organizações, assinale a alternativa 
CORRETA:
A Informação confidencial é primordial à manutenção da sua integridade. O armazenamento
precisa ser em áreas de acesso reservado.
B A crescente demanda por informações em tempo real decorre da necessidade das empresas
tomarem decisões mais rápidas e eficazes, 
C Informação pública é primordial à manutenção da sua integridade. O acesso externo dos dados
que integram esse tipo de informação deve ser evitado.
D Informação interna não precisa de investimento com segurança e armazenamento, e o descarte
da informação pode ser realizado de forma simples. 
20
Imprimir